<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;"><br><div><div>On Mar 1, 2015, at 1:34 PM, Y M <<a href="mailto:snort@...15979...">snort@...391...5979...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div class="hmmessage" style="font-size: 12pt; font-family: Calibri; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><div dir="ltr">I think you still need to specify a "default" http_inspect policy (correct me if I am wrong), although I could not find a reference to support that in the documentation (again, correct me if I am wrong). For example, the below works:<div><br></div><div><div>preprocessor http_inspect_server: server default profile apache ports { 80 }</div><div>preprocessor http_inspect_server: server 1.2.3.4 profile apache ports { 80 }</div><div><br></div><div><span style="font-size: 12pt;">> From:<span class="Apple-converted-space"> </span><a href="mailto:research@...17107...">research@...17107...</a></span></div><div>> Date: Sun, 1 Mar 2015 12:25:03 -0500<br>> To:<span class="Apple-converted-space"> </span><a href="mailto:snort-users@lists.sourceforge.net">snort-users@...3893...t</a><br>> Subject: [Snort-users] http_inspect_server syntax error ?<br>><span class="Apple-converted-space"> </span><br>> Hi,<br>><span class="Apple-converted-space"> </span><br>> I am currently trying to configure the: http_inspect_server preprocessor options.<br>><span class="Apple-converted-space"> </span><br>> As a minimalist approach, I have:<br>><span class="Apple-converted-space"> </span><br>> preprocessor http_inspect_server: server 1.2.3.4 profile apache ports { 80 }<br>><span class="Apple-converted-space"> </span><br>> I am aiming to have the options:<br>><span class="Apple-converted-space"> </span><br>> server 1.2.3.4    My web server IP address<br>> profile apache   My web server is Apache<br>> ports { 80 } …running HTTP on port 80<br>><span class="Apple-converted-space"> </span><br>> However, when I attempt to launch Snort, I receive the following error:<br>><span class="Apple-converted-space"> </span><br>> Verifying Preprocessor Configurations!<br>> HttpInspectConfigCheck() default server configuration not specified<br>> Fatal Error, Quitting..<br>><span class="Apple-converted-space"> </span><br>> …which seems to apply it wants a profile of default.<br>><span class="Apple-converted-space"> </span><br>> What am I doing wrong ?<br>><span class="Apple-converted-space"> </span><br>> Thanks</div></div></div></div></blockquote><br></div><div>I agree.  If I put the following:</div><div><span class="Apple-tab-span" style="white-space:pre">  </span></div><div><span class="Apple-tab-span" style="white-space:pre">     </span># HTTP normalization and anomaly detection.  For more information, see README.http_inspect</div><span class="Apple-tab-span" style="white-space:pre">    </span>preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decompress_depth 65535<br><span class="Apple-tab-span" style="white-space:pre">       </span>preprocessor http_inspect_server: server default profile apache ports { 80 }<br><span class="Apple-tab-span" style="white-space:pre"> </span>preprocessor http_inspect_server: server 1.2.3.4 profile apache ports { 80 }<div><br></div><div>…then I have success!  Snort is happy and runs.</div><div><br></div><div>However, I’d like to customize some of the parameters.  If I insert what you mentioned and then try and set some specific settings via the defaults in snort.conf, I get errors.</div><div><br></div><div>So if I have:</div><div><br></div><div><span class="Apple-tab-span" style="white-space:pre"> </span># HTTP normalization and anomaly detection.  For more information, see README.http_inspect</div><span class="Apple-tab-span" style="white-space: pre;">  </span>preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decompress_depth 65535<br><span class="Apple-tab-span" style="white-space: pre;">     </span>preprocessor http_inspect_server: server default profile apache ports { 80 }<br><span class="Apple-tab-span" style="white-space: pre;">       </span>preprocessor http_inspect_server: server 1.2.3.4 profile apache ports { 80 } \<div><span class="Apple-tab-span" style="white-space:pre">      </span>chunk_length 500000 \</div><div><span class="Apple-tab-span" style="white-space:pre">        </span>server_flow_depth 0 \</div><div><br></div><div><span class="Apple-tab-span" style="white-space:pre">       </span>(snip)...</div><div><br></div><div>…it seems that it does not like the options I am editing which were in the original snort.conf file (i.e. I haven’t added any options, just changing some from “no” to “yes”, etc.).</div><div><br></div><div>My hypothesis is that I can’t change some settings when the profile is Apache and the snort.conf parser is halting on that.  Is that correct ?</div><div><br></div><div>Thanks for your help</div><div><br></div><div><br></div></body></html>